Doctor Web di kataloga fermî ya sepanên Android-ê de Trojanek klîkker keşif kir ku dikare bixweber bikarhêneran bibin aboneyên karûbarên dravê. Vekolerên vîrusê gelek guheztinên vê bernameya xerab, ku jê re tê gotin, nas kirine , и . Ji bo ku armanca xwe ya rastîn veşêrin û hem jî îhtîmala tespîtkirina Trojan kêm bikin, êrîşkaran gelek teknîk bikar anîn.
Yekem, wan klîkker di nav sepanên bêguneh-kamera û berhevokên wêneyan de ava kirin- ku fonksiyonên xwe yên mebest pêk anîn. Wekî encamek, sedemek zelal tune ku bikarhêner û pisporên ewlehiya agahdariyê wan wekî tehdîd bibînin.
Duyemîn, hemî malware ji hêla pakêtkera bazirganî ya Jiagu ve hatî parastin, ku ji hêla antivirusan ve tespîtê tevlihev dike û analîza kodê tevlihev dike. Bi vî rengî, Trojan xwedan şansek çêtir bû ku ji hêla parastina çêkirî ya pelrêça Google Play-ê ve ji tespîtê dûr bixe.
Sêyemîn, nivîskarên vîrus hewl dan ku Trojan wekî pirtûkxaneyên reklam û analîtîk ên naskirî veşêrin. Piştî ku li bernameyên hilgirê hate zêdekirin, ew di nav SDK-ên ji Facebook-ê de hate çêkirin û di nav wan de hene Adjust, di nav pêkhateyên wan de vedişêrin.
Digel vê yekê, klîkker bi bijartî êrîşî bikarhêneran kir: heke mexdûra potansiyel ne niştecîhê yek ji welatên eleqedar ji bo êrîşkaran be, ew ti kiryarên xirab nekir.
Li jêr mînakên serîlêdanên bi Trojanek ku di nav wan de cih girtine hene:
Piştî sazkirin û destpêkirina klîkkerê (li vir, guheztina wê dê wekî nimûne were bikar anîn ) bi nîşandana daxwaza jêrîn hewl dide ku bigihîje agahdariya pergala xebitandinê:
Ger bikarhêner bipejirîne ku destûrên pêwîst bide wî, Trojan dê bikaribe hemî agahdariyên di derbarê SMS-ê de veşêre û nivîsên peyaman bigire.
Dûv re, klîkker daneyên teknîkî yên di derbarê cîhaza vegirtî de ji servera kontrolê re vediguhezîne û jimareya rêzeya SIM-karta qurbanê kontrol dike. Ger ew bi yek ji welatên hedef re têkildar be, agahdariya li ser jimareya têlefonê ya pê re têkildar ji serverê re dişîne. Di heman demê de, klîkker ji bikarhênerên ji hin welatan pencereyek phishing nîşan dide ku ew ji wan dipirsin ku hejmarek binivîsin an têkevin hesabê xweya Google-ê:
Ger SIM-karta mexdûran ne aîdî welatê eleqedar ê êrîşkaran be, Trojan tu gavê nagire û çalakiya xwe ya xerab rawestîne. Guhertinên lêkolînkirî yên niştecîhên êrîşa bitikîne yên welatên jêrîn:
- Austria
- Îtalya
- France
- Taylor
- Moldova
- Almanya
- Qeter
- poland
- Greece
- Îrlandayê
Piştî şandina agahdariya hejmarê li benda fermanên ji servera rêveberiyê ye. Ew peywiran ji Trojanê re dişîne, ku navnîşanên malperan vedihewîne da ku bi forma JavaScript dakêşin û kod bikin. Ev kod ji bo kontrolkirina klîkkerê bi navgîniya JavascriptInterface, nîşandana peyamên pop-up-ê li ser cîhazê, pêkanîna klîkên li ser rûpelên malperê, û kiryarên din tê bikar anîn.
Piştî wergirtina navnîşana malperê, wê di WebViewek nedîtbar de vedike, li wir JavaScript-a ku berê pejirandibû bi parametreyên ji bo klîk jî tê barkirin. Piştî vekirina malperek bi karûbarek premium, Trojan bixweber li ser girêdan û bişkokên pêwîst bitikîne. Dûv re, ew kodên verastkirinê ji SMS-ê distîne û bi serbixwe abonetiyê piştrast dike.
Digel vê yekê ku klîkker fonksiyona xebata bi SMS-ê û gihîştina peyaman tune, ew vê sînordariyê derbas dike. Wisa diçe. Karûbarê Trojan agahdariya ji serîlêdanê dişopîne, ku ji hêla xwerû ve hatî peywirdar kirin ku bi SMS re bixebite. Dema ku peyamek tê, karûbar agahdariya pergalê ya têkildar vedişêre. Dûv re ew agahdariya li ser SMS-ya wergirtî jê derdixe û dişîne wergirê weşana Trojan. Wekî encamek, bikarhêner di derheqê SMS-a hatinê de agahdariyan nabîne û haya wî ji çi diqewime nîne. Ew tenê gava ku drav ji hesabê wî winda dibin, an jî gava ku ew diçe menuya peyaman û SMS-yên girêdayî karûbarê premium dibîne, fêrî abonetiya karûbarê dibe.
Piştî ku pisporên Doctor Web bi Google re têkilî danî, sepanên xerab ên hatine tespîtkirin ji Google Play hatin rakirin. Hemî guheztinên naskirî yên vê klîkkerê ji hêla hilberên antî-virus ên Dr.Web ve ji bo Android-ê bi serfirazî têne kifş kirin û rakirin û ji ber vê yekê ji bikarhênerên me re xeternakin.
Source: www.habr.com